Funzionalità di sicurezza di base e avanzate di Microsoft Defender for Cloud

Defender for Cloud offre molte funzionalità di sicurezza avanzate che consentono di proteggere l'organizzazione da minacce e attacchi.

  • Funzionalità di sicurezza di base (gratuito) - Quando si apre Defender for Cloud nel portale di Azure per la prima volta o se la si abilita tramite l'API, Defender for Cloud è abilitata gratuitamente in tutte le sottoscrizioni di Azure. Per impostazione predefinita, Defender for Cloud fornisce il punteggio sicuro, i criteri di sicurezza e le raccomandazioni di base e la valutazione della sicurezza di rete per proteggere le risorse di Azure.

    Se si desidera provare le funzionalità di sicurezza avanzate, abilitare funzionalità di sicurezza avanzate gratuitamente per i primi 30 giorni. Al termine dei 30 giorni, se si decide di continuare a usare il servizio, l'utilizzo inizierà a essere addebitato automaticamente. Per informazioni dettagliate sui prezzi nella valuta locale o nell'area geografica, vedere la pagina dei prezzi.

  • Funzionalità di sicurezza avanzate (a pagamento): quando si abilitano le funzionalità di sicurezza avanzate, Defender for Cloud può fornire una gestione unificata della sicurezza e una protezione dalle minacce nei carichi di lavoro cloud ibridi, tra cui:

    • Microsoft Defender per endpoint - Microsoft Defender per server include Microsoft Defender per endpoint per il rilevamento completo degli endpoint e la risposta (EDR). Altre informazioni sui vantaggi dell'uso di Microsoft Defender per Endpoint insieme a Defender for Cloud in Use Defender per la soluzione EDR integrata di Defender per Cloud.

    • Valutazione della vulnerabilità per macchine virtuali, registri contenitori e risorse SQL: è possibile abilitare con facilità le soluzioni di valutazione delle vulnerabilità per individuare, gestire e risolvere le vulnerabilità. Visualizzare, analizzare e correggere i risultati direttamente in Microsoft Defender for Cloud.

    • Sicurezza multicloud : connettere gli account da Amazon Web Services (AWS) e Google Cloud Platform (GCP) per proteggere le risorse e i carichi di lavoro in tali piattaforme con una gamma di funzionalità di sicurezza di Microsoft Defender for Cloud.

    • Sicurezza ibrida: per ottenere una visualizzazione unificata della sicurezza in tutti i carichi di lavoro locali e cloud; applicare i criteri di sicurezza e la valutazione continua della sicurezza dei carichi di lavoro cloud ibridi per garantire la conformità con gli standard di sicurezza; Raccogliere, cercare e analizzare i dati sulla sicurezza provenienti da più origini, tra cui firewall e altre soluzioni dei partner.

    • Avvisi di protezione dalle minacce: l'analisi comportamentale avanzata e Microsoft Intelligent Security Graph offrono maggiori possibilità di contrastare gli attacchi informatici in continua evoluzione. L'analisi comportamentale predefinita e le tecniche di Machine Learning consentono di identificare gli attacchi e gli exploit zero-day. Monitorare reti, computer, archivi dati (server SQL ospitati all'interno e all'esterno di Azure, database SQL di Azure, Istanza gestita di SQL di Azure e Archiviazione di Azure) e servizi cloud per attacchi in ingresso e attività post-violazione. Semplifica l'investigazione con strumenti interattivi e intelligence per le minacce contestuale.

    • Tenere traccia della conformità con un intervallo di standard : Defender for Cloud valuta continuamente l'ambiente cloud ibrido per analizzare i fattori di rischio in base ai controlli e alle procedure consigliate nel benchmark di sicurezza cloud Microsoft. Quando si abilitano le funzionalità di sicurezza avanzata, è possibile applicare una gamma di altri standard di settore, standard normativi e benchmark in base alle esigenze dell'organizzazione. Aggiungere standard e tenere traccia della conformità dal dashboard di conformità alle normative.

    • Controlli di accesso e dell'applicazione: bloccare malware e altre applicazioni indesiderate applicando i consigli basati sull’apprendimento automatico dopo averli adattati ai carichi di lavoro specifici per creare elenchi di elementi consentiti e bloccati. È inoltre possibile ridurre la superficie di attacco di rete con accesso JIT controllato alle porte di gestione nelle macchine virtuali di Azure, Il controllo dell'accesso e dell'applicazione riduce drasticamente l'esposizione alla forza bruta e ad altri attacchi di rete.

    • Funzionalità di sicurezza dei contenitori: consentono di sfruttare la gestione delle vulnerabilità e la protezione dalle minacce in tempo reale negli ambienti in contenitori. Gli addebiti sono basati sul numero di immagini di contenitori univoche inserite nel registro contenitori. Dopo la prima analisi, non sono più previsti addebiti per l'immagine a meno che non venga modificata e inserita di nuovo.

    • Ampia protezione dalle minacce per le risorse connesse ad Azure: protezione dalle minacce nativa del cloud per i servizi di Azure comuni a tutte le risorse dell'utente, ovvero Azure Resource Manager, DNS di Azure, livello rete di Azure e Azure Key Vault. Defender for Cloud ha una visibilità univoca sul livello di gestione di Azure e sul livello di DNS di Azure e può quindi proteggere le risorse cloud connesse a tali livelli.

    • Gestire cloud Security Posture Management (CSPM) - CSPM offre la possibilità di correggere i problemi di sicurezza e esaminare il comportamento di sicurezza tramite gli strumenti forniti. Questi strumenti comprendono:

      • Governance della sicurezza e conformità alle normative
      • Grafico della sicurezza cloud
      • Analisi del percorso di attacco
      • Analisi senza agente per i computer

      Altre informazioni su CSPM.

Domande frequenti - Prezzi e fatturazione

Come è possibile tenere traccia di chi nell'organizzazione ha abilitato un piano Microsoft Defender in Defender for Cloud?

Le sottoscrizioni di Azure possono avere più amministratori con le autorizzazioni per cambiare le impostazioni dei prezzi. Per individuare l'utente che ha apportato una modifica, usare il log attività di Azure.

Log attività di Azure che mostra un evento di modifica dei prezzi.

Se le informazioni dell'utente non sono riportate nella colonna Evento avviato da, esplorare il codice JSON dell'evento per trovare i dettagli appropriati.

Esplora JSON del log attività di Azure.

Quali sono i piani offerti da Defender for Cloud?

L'offerta gratuita di Microsoft Defender for Cloud offre il punteggio sicuro e gli strumenti correlati. L'abilitazione della sicurezza avanzata attiva tutti i piani di Microsoft Defender per offrire un'ampia gamma di vantaggi per la sicurezza per tutte le risorse negli ambienti Azure, ibridi e multicloud.

Come si abilita la sicurezza avanzata di Defender for Cloud per la sottoscrizione?

È possibile usare uno dei modi seguenti per abilitare la sicurezza avanzata per la sottoscrizione:

Metodo Istruzioni
Pagine defender per cloud del portale di Azure Abilitare le protezioni avanzate
API REST API di prezzi
Interfaccia della riga di comando di Azure az security pricing
PowerShell Set-AzSecurityPricing
Criteri di Azure Prezzi del bundle

È possibile abilitare Microsoft Defender per server in un subset di server?

No. Quando si abilita Microsoft Defender per server in una sottoscrizione di Azure o in un account AWS connesso, tutti i computer connessi saranno protetti da Defender per Server.

Un'altra alternativa consiste nell'abilitare Microsoft Defender per i server a livello di area di lavoro Log Analytics. In questo caso, verranno protetti e fatturati solo i server associati a tale area di lavoro. Tuttavia, diverse funzionalità risulteranno non disponibili, Questi includono Microsoft Defender per endpoint, soluzione VA (TVM/Qualys), accesso alle macchine virtuali just-in-time e altro ancora.

Se si dispone già di una licenza per Microsoft Defender for Endpoint, è possibile ottenere uno sconto per Defender for Server?

Se si ha già una licenza per Microsoft Defender per endpoint per server piano 2, non è necessario pagare per tale parte della licenza di Microsoft Defender for Server. Altre informazioni su questa licenza.

Per richiedere lo sconto, contattare il team di supporto di Defender for Cloud. È necessario specificare l'ID dell'area di lavoro, l'area e il numero di licenze di Microsoft Defender for Endpoint per i server applicati per i computer nell'area di lavoro specificata.

Lo sconto sarà effettivo a partire dalla data di approvazione e non verrà eseguito retroattivamente.

La sottoscrizione è abilitata per Microsoft Defender per i server, quali computer pagano?

Quando si abilita Microsoft Defender per server in una sottoscrizione, tutti i computer in tale sottoscrizione (inclusi i computer che fanno parte dei servizi PaaS e risiedono in questa sottoscrizione) vengono fatturati in base al relativo stato di alimentazione, come illustrato nella tabella seguente:

State Descrizione Utilizzo dell'istanza fatturata
Avvio in corso Avvio della macchina virtuale in corso. Non fatturato
In esecuzione Stato di funzionamento normale per una macchina virtuale Fatturato
Stopping Questo stato è transitorio. Al termine, verrà visualizzato lo stato Arrestato. Fatturato
Arrestato La macchina virtuale è stato chiusa dall'interno del sistema operativo guest o tramite le API PowerOff. L'hardware è ancora allocata alla macchina virtuale e rimane nell'host. Fatturato
Deallocazione Questo stato è transitorio. Al termine, lo stato visualizzato per la macchina virtuale sarà Deallocato. Non fatturato
Deallocato La macchina virtuale è stata arrestata correttamente e rimossa dall'host. Non fatturato

Macchine virtuali di Azure che mostrano una macchina deallocata.

Se si abilita defender per i server cloud a livello di sottoscrizione, è necessario abilitarlo a livello di area di lavoro?

Quando si abilita il piano Server a livello di sottoscrizione, Defender for Cloud abiliterà automaticamente il piano Server nelle aree di lavoro predefinite. Connettersi all'area di lavoro predefinita selezionando Connetti le macchine virtuali di Azure alle aree di lavoro predefinite create dall'opzione Defender for Cloud e selezionando Applica.

Screenshot che mostra come effettuare il provisioning automatico di Defender for Cloud per gestire le aree di lavoro.

Tuttavia, se si usa un'area di lavoro personalizzata al posto dell'area di lavoro predefinita, è necessario abilitare il piano Server in tutte le aree di lavoro personalizzate che non sono abilitate.

Se si usa un'area di lavoro personalizzata e si abilita il piano solo a livello di sottoscrizione, la Microsoft Defender for servers should be enabled on workspaces raccomandazione verrà visualizzata nella pagina Raccomandazioni. Questa raccomandazione offre la possibilità di abilitare il piano dei server a livello di area di lavoro con il pulsante Correggi. Vengono addebitati costi per tutte le macchine virtuali nella sottoscrizione anche se il piano Server non è abilitato per l'area di lavoro. Le macchine virtuali non trarranno vantaggio dalle funzionalità che dipendono dall'area di lavoro Log Analytics, ad esempio Microsoft Defender per endpoint, dalla soluzione VA (TVM/Qualys) e dall'accesso JIT alle macchine virtuali.

L'abilitazione del piano Server sia per la sottoscrizione che per le aree di lavoro connesse non comporta un doppio addebito. Il sistema identificherà ogni macchina virtuale univoca.

Se si abilita il piano Server nelle aree di lavoro tra sottoscrizioni, le macchine virtuali connesse da tutte le sottoscrizioni verranno fatturate, incluse le sottoscrizioni che non dispongono del piano Server abilitato.

Si riceveranno addebiti per i computer senza l'agente di Log Analytics installato?

Sì. Quando si abilita Microsoft Defender per server in una sottoscrizione di Azure o in un account AWS connesso, verranno addebitati tutti i computer connessi alla sottoscrizione di Azure o all'account AWS. Il termine macchine virtuali include macchine virtuali di Azure, istanze dei set di scalabilità di macchine virtuali di Azure e server abilitati per Azure Arc. I computer che non dispongono di Log Analytics installati sono coperti da protezioni che non dipendono dall'agente di Log Analytics.

Se un agente di Log Analytics è associato a più aree di lavoro, l'addebito verrà applicato due volte?

Se un computer segnala a più aree di lavoro e tutte hanno Defender per server abilitato, i computer verranno fatturati per ogni area di lavoro collegata.

Se l'agente di Log Analytics è associato a più aree di lavoro, la funzionalità gratuita di inserimento di 500 MB di dati è disponibile per tutte?

Sì. Se si configura l'agente di Log Analytics per l'invio di dati a due o più aree di lavoro Log Analytics diverse (multihoming), si otterrà l'inserimento dati gratuito di 500 MB per ogni area di lavoro. Viene calcolato per nodo, per area di lavoro segnalata, al giorno e disponibile per ogni area di lavoro in cui è installata una soluzione "Sicurezza" o "AntiMalware". Verranno addebitati i dati inseriti oltre il limite di 500 MB.

L'inserimento gratuito di 500 MB di dati viene calcolato per un'intera area di lavoro o rigorosamente per computer?

Si otterrà l'inserimento dati gratuito di 500 MB al giorno per ogni macchina virtuale connessa all'area di lavoro. In particolare per i tipi di dati di sicurezza raccolti direttamente da Defender for Cloud.

Questi dati vengono calcolati come media di frequenza giornaliera tra tutti i nodi. Il limite totale giornaliero disponibile è uguale a [numero di computer] x 500 MB. Pertanto, anche se alcuni computer inviano 100 MB e altri inviano 800 MB, se il totale non supera il limite totale gratuito giornaliero, non verrà addebitato alcun costo aggiuntivo.

Quali tipi di dati sono inclusi nella quantità giornaliera di dati da 500 MB?

La fatturazione di Defender for Cloud è strettamente legata alla fatturazione per Log Analytics. Microsoft Defender per server offre un'allocazione di 500 MB/nodo/giorno per i computer rispetto al sottoinsieme di tipi di dati di sicurezza seguenti:

Se l'area di lavoro è nel piano tariffario legacy per nodo, le allocazioni di Defender for Cloud e Log Analytics vengono combinate e applicate congiuntamente a tutti i dati fatturabili inseriti.

Come monitorare l'utilizzo giornaliero

È possibile visualizzare l'utilizzo dei dati in due modi diversi, nel portale di Azure o eseguendo uno script.

Per visualizzare l'utilizzo nel portale di Azure:

  1. Accedere al portale di Azure.

  2. Passare alle aree di lavoro di Log Analytics.

  3. Selezionare l'area di lavoro.

  4. Selezionare Utilizzo e costi stimati.

    Screenshot dell'utilizzo dei dati dell'area di lavoro Log Analytics.

È anche possibile visualizzare i costi stimati in piani tariffari diversi selezionando per ogni piano tariffario.

Screenshot che mostra come visualizzare i costi stimati in piani tariffari aggiuntivi.

Per visualizzare l'utilizzo usando uno script:

  1. Accedere al portale di Azure.

  2. Passare aLog Analytics workspaces > Logs (Log delle aree di lavoro Log Analytics).

  3. Selezionare l'intervallo di tempo. Informazioni sugli intervalli di tempo.

  4. Copiare e incollare la query seguente nella sezione Digitare la query qui .

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. Selezionare Run (Esegui).

    Screenshot che mostra dove immettere la query e dove si trova il pulsante Seleziona esecuzione.

È possibile informazioni su come analizzare l'utilizzo nell'area di lavoro Log Analytics.

In base all'utilizzo, non verrà addebitato alcun costo fino a quando non è stata usata l'indennità giornaliera. Se si riceve una fattura, si tratta solo dei dati usati dopo il raggiungimento del limite di 500 MB o per altri servizi che non rientrano nella copertura di Defender for Cloud.

Passaggi successivi

Questo articolo ha illustrato le opzioni dei prezzi di Defender for Cloud. Per informazioni correlate, vedere:

Importante

La destinazione della soluzione è stata deprecata perché l'agente di Log Analytics viene sostituito con l'agente di Monitoraggio di Azure e le soluzioni in Monitoraggio di Azure vengono sostituite con informazioni dettagliate. È possibile continuare a usare la destinazione della soluzione se è già stata configurata, ma non è disponibile in nuove aree. La funzionalità non sarà supportata dopo il 31 agosto 2024. Le aree che supportano la destinazione della soluzione fino alla data di deprecazione sono le seguenti:

Codice area geografica Nome area
CCAN canadacentral
CHN svizzeranorth
Cid centralindia
Cq brazilsouth
CUS centralus
DEWC germaniawestcentral
DXB UAENorth
Contratto Enterprise eastasia
Eau australiaeast
EJP japaneast
Eus eastus
EUS2 eastus2
NCUS northcentralus
Neu NordEurope
Noe norvegiaeast
Comma FranceCentral
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
Suk uksouth
WCUS westcentralus
Ueo westeurope
Wus westus
WUS2 westus2
Nuvole con aria aperta Codice area geografica Nome area
UsNat EXE usnateast
UsNat Exw usnatwest
UsGov FF usgovvirginia
Cina MC Cina orientale 2
UsGov Phx usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest